Databeskyttelsesforordningen indeholder ikke en facitliste eller oplistning af, hvilke foranstaltninger der skal iværksættes til et tilstrækkeligt sikkerhedsniveau. De rette foranstaltninger skal i stedet etableres på baggrund af en risikobaseret tilgang, hvor risikoen for den enkelte deltager skal vurderes. Du skal herefter træffe en række forholdsregler med henblik på at beskytte den enkelte deltagers rettigheder eller frihedsrettigheder for derved at minimere risikoen for for eksempel identitetstyveri samt tab af ære eller velfærd.
Det er vanskeligt at lave en risikovurdering, men anvender du regionens veletablerede løsninger til især indsamling, opbevaring og korrespondance, er du godt på vej. Som tommelfingerregel er det afgørende hele tiden at sikre, at personoplysninger om deltagerne ikke kommer i de forkerte hænder, beskadiges eller mistes.
Ved indsamling af personoplysninger til en spørgeskemaundersøgelse udsætter du for eksempel deltagerne for en højere risiko ved at indsamle oplysningerne på papir end ved at anvende regionens veletablerede løsninger i RedCap eller SurveyXact.
Ligeledes udsætter du deltagere for en højere risiko ved at opbevare de indsamlede personoplysninger fysisk i mapper og skabe frem for elektronisk i et godkendt system. Her kan du læse mere om opbevaring af personoplysninger.
Ved korrespondance indeholdende personoplysninger er det desuden forbundet med betydelig risiko for deltageren, hvis du for eksempel korresponderer via Hot- eller Dadlnet-mails. Risikoen minimeres, hvis du i stedet korresponderer via Digital Post (eBoks) eller imellem to Region Midtjylland-mailadresser.
Tilsvarende ved brug af SMS, som generelt er en usikker måde at kommunikere på. Det er derfor risikabelt for deltageren, hvis en SMS indeholder følsomme og fortrolige personoplysninger. Derimod minimeres risikoen, når en SMS kun indeholder almindelige personoplysninger om deletageren. Her kan du læse mere om brug af SMS i regionens retningslinje.
For yderligere hjælp til etablering af passende sikkerhedsforanstaltninger og risikovurdering kan Juridisk Enhed for Databeskyttelse kontaktes.